双因子与多因子身份验证有什么区别？

双因子身份验证（Two-Factor Authentication, 2FA）是多因子身份验证（Multi-Factor Authentication, MFA）的一种。这两种身份验证解决方案都需要额外的身份验证因素来保障帐户的安全性。

在区别 2FA 和 MFA 有什么不同之前，我们先来了解身份验证的概念和身份验证因素。

什么是身份验证？

身份验证是身份访问管理（Identity and Access Management, IAM）的一个基本概念，让系统能够验证用户的身份。身份验证因素是在授予访问权限之前证明用户本人身份的安全机制。

目前存在三种类型的身份验证因素：

• 知识因素（knowledge factor）：一次性密码（one-time password, OTP），个人识别码（PIN）/密码、密保问题的答案
• 持有的对象（possession factor）：移动设备或其他物理设备、硬件令牌（Ukey）、安全令牌/安全密钥
• 生物特征（inherence factor）：生物特征，如指纹、面部识别、视网膜扫描、语音识别等

分别来看 2FA 和 MFA

以下列出了双因子和多因子身份验证的定义，以及这两种安全机制之间的区别。

什么是双因子身份验证?

双因子身份验证（2FA）是多因子身份验证的一种，是一种在授予在线帐户访问权限之前通过两个因素验证最终用户的身份的安全机制。

以下是有关 2FA 的例子：

• 用户尝试使用其用户名和密码登录在线服务
• 系统确认登陆凭证正确，提示第二个身份验证因素
• 用户在其手机上打开身份验证器应用程序，该应用会生成一个安全代码
• 用户在登陆页面上输入代码并被授予访问权限

什么是多因子身份验证？

多因素身份验证 （MFA）要求用户在授权系统访问之前提供两个或更多不同的身份验证因素。它使用身份验证因素的组合。

以下是 MFA 的示例：

• 用户尝试使用其用户名和密码登录在线服务。
• 系统确认登录凭证正确，提示第二个身份验证因素。
• 用户在物理设备上收到推送通知以确认他们正在尝试登录。
• 用户被重定向到服务的登录页面，并提示使用面部识别（生物特征）。
• 系统验证面部识别尝试并授予用户访问权限。

2FA 和 MFA 之间差异

• 2FA 是 MFA 的一个子集（如下图所示）
• 2FA 的所有实例包含在 MFA 实例中
• 但并非所有 MFA 实例都是 2FA
• MFA 需要比 2FA 更多的因素来授予用户访问权限

为什么 2FA 和 MFA 很重要？

大多数金融、医疗保健、教育和政府机构都提供线上服务，以方便用户使用。这些服务提供商会存储用户的个人身份信息 （Personal Identifiable Information, PII）、受保护的医疗保健信息 （Protected Health Information, PHI）和其他敏感信息。在过去账户保护依赖于单一因素的身份验证（Single-factor Authentication, SFA），通常是使用密码来验证身份，但在如今充满威胁的网络环境下，依赖密码进行验证是远远不够的。

现代网络环境中的犯罪分子能够轻易地在未经授权的情况下访问敏感信息，尤其是通过 SFA 登录。黑客能够使用许多技术来窃取密码并利用用户的个人信息实施恶意攻击或其他犯罪行为。

常见的密码窃取方法

以下是三种常见的窃取密码的方式：

蛮力攻击

在这种类型的网络攻击中，黑客策略性地猜测用户的密码，直到他们破解正确的密码组合。当用户的密码强度较弱时，例如生日，这种攻击方式的成功率特别高。

数据泄露

用户或服务提供商无意在网上暴露了的敏感数据，例如 LinkedIn 上的生日，这些数据被黑客发现并利用，从而获得未经授权的访问。历史数据泄露导致的凭据泄露为黑客提供了更容易进行攻击的媒介。尽管存在重大安全隐患，但许多用户仍然在不同帐户中重复使用相同的密码。攻击者可以在同一用户的多个帐户中使用这些泄露的密码反复尝试，直到他们破解正确的密码组合。

键盘记录器

黑客在用户毫不知情的情况下，在其系统上安装键盘记录器（Keyloggers）或类似恶意软件。键盘记录器能够记录键盘输入内容并读取被该设备上的剪贴板数据，同时允许黑客窃取密码和其他未经授权访问的信息。

MFA 比 2FA 更安全吗？

2FA 和 MFA 都是比单因素身份验证 (Single-factor Authentication, SFA) 更安全的身份验证形式，因为这两种身份验证方式不仅仅依赖于密码。而 MFA 则通常被认为比 2FA 更加安全，因为该验证形式通过更多重的因素来验证身份从而有效保障帐户安全。但是，MFA 解决方案的强度取决于其附加身份验证方法的安全性。

比如，电子邮件和短信验证码的安全性不如其他类型的身份验证，因为大量的网络钓鱼诈骗以及犯罪分子破解 SIM 卡的能力会带来额外的网络安全风险。当 MFA 依赖于用户独有且难以复制的生物特征认证因素时，MFA 最为有效。